Op basis van onze praktijkervaring bij de implementatie van GDPR-regelgeving, kunnen we met zekerheid stellen dat het bepalen en hanteren van bewaartermijnen voor persoonsgegevens een serieuze uitdaging vormt voor organisaties. Hieronder bieden we een opfrissing en een actuele update over de diverse aspecten van gegevensopslag.
WAAROVER GAAT HET
Bij de verwerking van persoonsgegevens moeten bedrijven en organisaties rekening houden met een belangrijk principe: de opslagbeperking. Dat verplicht je als verwerkingsverantwoordelijke om bewaartermijnen vast te leggen en op te volgen voor de persoonsgegevens die je verwerkt.
Het is niet makkelijk om te bepalen hoe lang je persoonsgegevens nu precies mag bewaren en veel ondernemingen worstelen hiermee. Hoe lang mag je welke persoonsgegevens bewaren? Hoe lang is het “noodzakelijk” om persoonsgegevens te bewaren? Waarmee moet je rekening houden bij de bepaling van bewaartermijnen? Kan je die bewaartermijnen altijd vrij bepalen? Wat met commerciële data waarin je tijd en energie geïnvesteerd hebt die je niet verloren wil laten gaan? Als je gegevens wist, zijn ze dan daadwerkelijk ook ‘weg’ of kan je ze nog altijd raadplegen op één of andere manier?
WAARUIT BESTAAT DE REGLEMENTERING OVER BEWAARTERMIJNEN VAN PERSOONSGEGEVENS
De GDPR vereist dat persoonsgegevens niet langer bewaard worden dan nodig is voor de doeleinden waarvoor ze worden verwerkt. Met andere woorden: gegevens moeten voor de kortst mogelijke tijd worden opgeslagen.
Ook vraagt de GDPR dat je de bewaartermijnen opneemt in het register van verwerkingsactiviteiten en dat je de betrokkenen informeert over de bewaartermijnen van hun persoonsgegevens.
De GDPR stelt dat persoonsgegevens correct moeten zijn en, indien nodig, moeten worden bijgewerkt gedurende de periode van verwerking en bewaring.
HOE LEG JE NU BEST DEZE BEWAARTERMIJNEN VAST
Als bedrijf of organisatie en dus als verwerkingsverantwoordelijke moet je per verwerkingsactiviteit waarin persoonsgegevens worden verwerkt, vastleggen hoe lang deze gegevens worden bewaard. Een duidelijke formule voor het vastleggen van bewaartermijnen bestaat echter niet.
Onderstaand enkele richtlijnen die je hierbij kunnen helpen.
- Zijn er wettelijke bewaartermijnen waaraan je je moet houden? Voor een behoorlijk aantal verwerkingen vind je hier een oplossing. Gegevens met betrekking tot boekhoudkundige/fiscale verwerkingen (sinds kort opnieuw 10 jaar), gegevens m.b.t. sociale verwerkingen, zoals loonbeheer, het beheer van arbeidsovereenkomsten en dergelijke (10 jaar), camerabeelden (max. 30 dagen), documenten die te maken hebben met bouw en verbouwing – dus ook de facturen en contracten voor (verkoop van) onroerende goederen, aannemers en architecten (10 jaar).
- Stel jezelf de volgende vragen bij het vastleggen van bewaartermijnen:
-
- Wat is het doel van de verwerking en hoe lang moet je de gegevens bewaren om dit doel te bereiken? Bij gegevens die nodig zijn om een lopende overeenkomst uit te voeren stellen zich weinig vragen. Zolang de overeenkomst loopt (of concreter: zolang bepaalde verbintenissen uit de overeenkomst doorlopen – denk aan bijvoorbeeld garantiebepalingen) kunnen persoonsgegevens bewaard worden.
- Het uitgangspunt is zo kort mogelijke bewaartermijnen. Stel je dus de vraag: kan ik de bewaartermijn nog aanscherpen?
- Kan ik de gegevens tijdens de bewaartermijn actueel, juist en volledig houden en gemakkelijk bijwerken indien nodig? Het heeft geen zin om Cv’s van sollicitanten 5 jaar bij te houden als je niet kan garanderen dat je deze gegevens correct kan houden gedurende deze periode.
- Kan ik na de verwerking de persoonsgegevens vernietigen zonder dat dit de verwerking benadeelt?
- Kan ik de betrokkenen steeds toegang geven tot hun gegevens gedurende de bewaartermijn
BEWAARTERMIJNEN OPNEMEN IN HET VERWERKINGSREGISTER
Voor elke verwerking in het verwerkingsregister, dien je de bewaartermijn van de persoonsgegevens te vermelden, best samen met een duidelijke onderbouw. Dit geeft aan dat je nagedacht hebt bij het vastleggen van de termijnen en kan je je verantwoorden wanneer de GBA (Gegevensbeschermingsautoriteit) ernaar vraagt. Zij beoordelen onder andere of jouw argumentatie redelijk is.
INFORMATIE AAN DE BETROKKENEN
Om in overeenstemming met te zijn met de GDPR moet je de betrokkenen inlichten over de toegepaste bewaartermijnen. Je kan dit best vermelden in je privacy policy. Zo weten de mensen van wie je gegevens verwerkt hoe lang je hun gegevens bewaart. En doe dit zo concreet mogelijk.

PERSOONSGEGEVENS ARCHIVEREN OF VERNIETIGEN
Het basisprincipe uit artikel 5 GDPR stelt dat persoonsgegevens definitief gewist moeten worden bij het einde van de voorgenomen verwerking. Met andere woorden wanneer het doel waarvoor je de gegevens gebruikte bereikt is.
Dat betekent overigens niet dat gegevens systematisch en in alle gevallen overal en helemaal moeten worden gewist. Het is bijvoorbeeld in bepaalde gevallen mogelijk om persoonsgegevens tijdelijk of definitief te archiveren of te anonimiseren. Definitieve anonimisering staat wat dat betreft op dezelfde voet als verwijdering, aangezien geanonimiseerde gegevens geen persoonsgegevens meer zijn.
De overheid is bijvoorbeeld verplicht om bepaalde informatie voor altijd te bewaren. Ook ondernemingen die persoonsgegevens verwerken voor algemeen belang, voor wetenschappelijk of historisch onderzoek of voor statistische doeleinden mogen deze langer bewaren dan noodzakelijk is voor het oorspronkelijk verwerkingsdoeleinde, mits anonimisering of versleuteling.

Maar in de meeste gevallen is vernietiging de norm. En daar heeft iedereen het moeilijk mee. Want onze systemen en processen zijn ingericht op bewaren, niet op verwijderen! Denk dus vooraf goed na bij het ontwerpen of aankopen van dataverwerkingssystemen op welke manier de persoonsgegevens kunnen verwijderd worden.
Wil je de gegevens na de opslagperiode toch nog verder bewerken dan zal je hiervoor de toestemming moeten vragen.
WAT MET PERSOONSGEGEVENS BIJ PARTNERS?
Persoonsgegevens die je als verwerkingsverantwoordelijke doorgaf aan een verwerker, blijven jouw verantwoordelijkheid. Jij moet er dus op toezien dat de persoonsgegevens correct bewaard en uiteindelijk gewist worden door je partner (de verwerker).
De verplichtingen van de verwerker worden opgenomen in een verwerkersovereenkomst waarin duidelijke richtlijnen gestipuleerd staan over het bewaren en vernietigen van de verwerkte persoonsgegevens.


Rolf Vermeulen
Privacy-expert
+32 475 96 01 18

Bart Ocket
Privacy-expert
+32 491 08 37 84

Karel Mol
Privacy-expert
+32 476 30 91 47